Cu aproape o lună în urmă, Primăria Sectorului 1 a fost victima unui atac ransomware. Al doilea, în decurs de mai puțin de o lună. Spre deosebire de primul atac din septembrie, care a fost remediat în câteva ore, cel de-al doilea a blocat instituția timp de câteva zile.
Primăria nu a mai făcut public cum a remediat situația – a plătit recompensa în bitcoins solicitată de hackeri sau Poliția, DIICOT și echipa de specialiști IT angajată au reușit să decripteze calculatoarele afectate.
„Povestea fără sfârșit“ merită menționată însă pentru că furnizează câteva concluzii interesante:
În cazul amenințărilor și atacurilor informatice e însă mult mai bine să înveți dinainte. De aceea, am decis să inițiem un mini-serial de securitate IT, care să vă familiarizeze cu cele mai populare amenințări existente în acest moment.
Iar primul „episod“ este, evident, despre... ransomware!
De ce? – pentru că a devenit o amenințare foarte populară – apar constant noi amenințări (+350% în 2017 față de 2016, conform Dimension Data).
Mai grav e însă faptul că atacurile sunt tot mai țintite.
Motivul – e mai rentabil pentru hackeri să exploateze o organizație, de la care pot obține o recompensă mare, decât să atace „pe persoană fizică“ și să ia bani puțini din mai multe locuri.
Dovada – în 2016, IBM estima că 70% din companii plăteau răscumpărările, iar organizațiile recunoșteau că aveau rezerve de bitcoins în caz de nevoie... Între timp, atacurile s-au înmulțit, dar a scăzut numărul organizațiilor care recunosc că sunt pregătite să plătească.
De ce să pici la pace cu atacatorul? – pentru că pagubele produse de atac sunt mult mai mari decât răscumpărarea cerută.
Exemplu: în martie a.c. primăria orașului Atlanta a pierdut controlul infrastructurii IT în urma atacului ransomware-ului SamSam. Recompensa cerută – în jur de 51.000 USD. Remedierea pagubelor – 2,7 milioane USD estimare inițială, ulterior „ajustată“ la 9,5 milioane.
În acest caz: Preferați să plătiți un hacker și, implicit, să vă asumați riscul că vă poate extorca din nou, oricând dorește, sau investiți în protecția companiei voastre?
Nu vă grăbiți cu răspunsul înainte de a afla cum acționează efectiv un ransomware și ce măsuri de protecție aveți la dispoziție.
Ce este?
Simplificat, ransomware-ul este o aplicație „malițioasă“ care criptează fișierele de pe calculatorul dvs. și/sau vă blochează complet accesul la el. (La nivel de organizație, efectul se poate extinde la servere și dispozitive de stocare) Pentru a obține acesul la date și/sau deblocarea, aveți nevoie de o cheie de decriptare. Așa că fie apelați la specialiștii în securitate – vă asumați costul și riscul de a nu obține un rezultat în timp util –, fie plătiți răscumpărarea – adică alte costuri, alte riscuri...
Principalele tipuri de ransomware
Conform definiției, există:
În timp însă „oferta“ s-a diversificat cu:
Cum se răspândește malware-ul?
În principal, prin Social engineering – utilizatorii sunt păcăliți să descarce un fișier uzual pentru activitățile lor (facturi, confirmări de comenzi, formulare electronice, notificări interne etc.). Atunci când îl deschid se realizează infecția.
Malvertaising-ul – accesarea site-urilor cu reclame infectate – și Phisihing-ul – direcționarea potențialelor victime către site-uri false, deja infectate – sunt două metode tot mai utilizate, dar și descărcarea de fișiere nesolicitate sau de false aplicații utile (vezi cazul Scareware).
Ce se întâmplă după ce sunteți infectat?
În primele momente, nimic sesizabil pentru utilizatori.
Malware-ul contactează serverul hacker-ilor, emite o cheie de criptare și una de decriptare și apoi trece la treabă.
Teoretic, din acest moment, dacă soluția de protecție folosită nu a depistat nimic, sunteți buni de plată. „Nota“ emisă vă indică valoarea, moneda (de obicei, una virtuală) și modalitățile de transfer.
Cum vă protejați de ransomware?
Principalele recomandări sunt:
Acum aveți datele necesare pentru a răspunde la întrebarea din titlu.
Dacă ați ales să investiți în protecție, contactați-ne.